Рис. 3.4. Пример письма с вредоносным вложением

На рис. 3.4 показан пример такого вложения: вместо описанного счета (в привычном формате DOC или XLS[135]) в архив вложен файл с расширением SCR («заставка»), после запуска скачивающий вредоносный контент или принуждающий пользователя посетить зараженный сайт.

Кроме того, письма могут содержать ссылки на ресурсы, в том числе и официальные, на которые загружены инфицированные (подмененные) приложения и другие файлы.

В принципе, все сообщения о которых мы говорили ранее (и фишинговые, и вредоносные) можно отнести к спаму – рассылкам, на которые получатель не давал согласия и вынужден получать (не следует путать с массовыми рассылками, на которые получатель подписывается осознанно).

Согласно отчету[136] «Лаборатории Касперского», в марте 2021 г. доля спама в мировом почтовом трафике составляла примерно 45 %, т. е. практически каждое второе письмо было отправлено спамерами. С помощью спамерских рассылок не только ведется фишинг и распространяется вредоносное ПО, но и рекламируются разнообразные товары и услуги, в том числе и незаконные, например порнография; контрафактные товары (подделки, конфискат, см. рис. 3.5); лекарственные средства, оборот которых ограничен; незаконно полученная закрытая информация (базы данных); взломанное программное обеспечение.

Рис. 3.5. Подделка под смартфон известного бренда

Серьезные компании, дорожащие своей репутацией, не занимаются рассылками спама, поэтому маловероятно, что вы сможете приобрести качественный товар или услугу по ссылкам из спам-сообщений.

Как правило, спамеры получают адреса для рассылки путем поиска в интернете, а также из специальных баз адресов, которые продаются на соответствующих площадках. Кроме того, для генерации баз адресов электронной почты используются сочетания словарных слов (по аналогии с подбором паролей) и доменных имен известных почтовых провайдеров. В дальнейшем спам-сообщения рассылаются по базе через неправильно настроенные серверы, не ограничивающие и не фильтрующие трафик; различные сервисы, а также инфицированные компьютеры обычных пользователей. Чтобы такие сообщения доходили до адресатов в обход спам-фильтров, используются различные ухищрения: вставляются дополнительные пробелы между буквами, текст заменяется изображением и т. п. Для подтверждения получения спам-сообщения и того, что адрес получателя «работает», отправляются запросы о подтверждении доставки (некоторые программы отвечают на них автоматически); при загрузке письма подгружаются невидимые изображения с сервера, контролируемого злоумышленниками; создаются кнопки «Отписаться», при нажатии на которые на самом деле подтверждается получение письма, и т. п. После того как выяснится, что адрес электронной почты используется, поток спама возрастает.

К спаму относится и так называемый флуд – отсылка на адрес электронной почты огромного количества бессмысленных сообщений с целью его переполнения или перегрузки почтового сервиса. В случае переполнения почтового ящика адресат уже не может получать новые письма, которые могут быть очень важными для него.

В большинстве случаев спам и фишинговые сообщения могут иметь характерные признаки, отличающие их от «добросовестных» писем (перечислены наиболее распространенные):

■ Отправитель неизвестен.

■ Адрес отправителя принадлежат одной из малоизвестных почтовых служб и неизвестен вам.

■ Адрес отправителя содержит явные ошибки или искажения (sbarbankk.ru, gos.uslugi.ru, Yandex.mail.com и т. п.).

■ Название темы и содержимое письма не совпадают.

■ В письме используется не ваше имя, а стандартное приветствие, такое как «Уважаемый клиент», либо псевдоним, указанный в профиле электронной почты.

■ Текст письма содержит явные ошибки или искажения (например, «распр0дажа»), предназначенные для обмана спам-фильтров.

■ Часть письма или все оно – не текст в соответствующем формате, а изображение. В изображение может быть встроена ссылка на мошеннический сайт.

■ Письмо содержит фрагмент текста, продолжение которого доступно при открытии ссылки, содержащейся в этом письме.

■ Письмо содержит фальшивые предложения (продажа товаров, работа и т. п.), кажущиеся крайне выгодными.

■ Письмо содержит сообщение о выигрыше, предложение получить приз, наследство и т. п.

■ В письме сказано, что срок действия предложения вот-вот истечет (например: «Купите в течение часа и получите 50 %-ную скидку»).

■ Письмо содержит угрозу (например, в нем может быть сказано, что, если вы немедленно не сделаете то, чего от вас ждут злоумышленники, вашу учетную запись, счет в банке, карту и т. п. могут заблокировать; против вас может быть заведено административное дело; с вашего счета могут быть взысканы какие-то средства).

■ Авторы письма хотят, чтобы вы переслали его нескольким другим адресатам (друзьям), и угрожают навредить вам в случае отказа либо предлагают вознаграждение в случае согласия.

■ Авторы письма запрашивают персональную информацию, такую как имя пользователя, пароль или банковские реквизиты.

■ Письмо содержит предупреждение о вирусе от провайдера электронной почты или антивирусной программы (как вариант, предлагает скачать якобы специальный антивирус).

■ Письмо содержит подозрительные вложения, в том числе и запакованные в архив. Большинство вредоносных писем содержат файлы с одним из следующих расширений:.DOC,DOCX,XLS,XLSX,PDF,ZIP,RAR или.7Z (и аналогичные). Обратите внимание: сам файл может быть и безобидным, но в нем может находиться сценарий или ссылка, по которой скачивается вредоносный код.

■ Письмо содержит ссылку (кнопку) для подтверждения адреса электронной почты, якобы имеющую отношение к социальной сети или другому сайту, или кнопку «Отписаться от рассылки» (при этом отправитель рассылки вам неизвестен).